mbis – manažment bezpečnosti informačných systémov

MBIS – Manažment bezpečnosti informačných systémov

Štandardy

©JV- MBIS ´11 2

Štandardy

TCSEC Trusted Computers evaluation Criteria - Oranžová kniha

ITSEC Information Technology Security Evaluation Criteria - Európske kritéria

British standard BS 7799

CC - Common Criteria (ISO15408)

©JV- MBIS ´11 3

Oranžová kniha – kategórie Trusted Computer System Evaluation Criteria

všeobecnej bezpečnostnej politiky, prístupu a identifikovateľnosti a oblasť záruk,

ako treba pristupovať k politike, čo je treba poskytnúť ku kontrole pri

prístupe k informáciám ako je možné získať záruku, že tento

prístup je v počítačovom systéme dostatočne prepracovaný

©JV- MBIS ´11 4

Oranžová kniha - skupiny

bezpečnostná politika označenie identifikácia zodpovednosť záruka nepretržitá ochrana

Oranžová kniha ...

bezpečnostné smernice - stratégia bezpečnosti ...

zodpovednosť – kto, kedy, ... audit, monitorovanie systému,

zabezpečenie a prvky bezpečnosti dokumentácia, postupy, návody,

manuál...

©JV- MBIS ´11 5

©JV- MBIS ´11 6

Bezpečnosť podľa TCSEC

skupina D - minimálna ochrana - boli hodnotené, ale nevyhovujú požiadavkám

skupina C - výberová ochrana - prvky a preverovacie schopnosti

skupina B - direktívna ochrana - TCB, ktorá zachováva integritu stupňa utajenia a prenáša ju spolu dátovými štruktúrami systému.

skupina A - verifikovaná ochrana - použitie metód formálnej bezpečnostnej kontroly, ktoré zaisťuje , že výberové a direktívne riadenie bezpečnosti môže efektívne ochrániť utajované informácie.

©JV- MBIS ´11 7

Bezpečnosť podľa TCSEC

trieda C1 - zabezpečenie ochrany výberom - systém TCB spĺňa požiadavky výberovej ochrany tým, že oddeľuje užívateľov od dát,

trieda C2 - ochrana riadeným prístupom - riadením prístupu, schopnosťou zaznamenávať bezpečnostné významné udalosti a oddelením sieťových zdrojov,

trieda B1 - ochrana bezpečnosti stupňom - označenie dát, ktoré definuje stupeň utajenia.

trieda B2 - štruktúrovaná ochrana - začlenenie objektov z hľadiska ochrany a ďalšie mechanizmy kontroly.

trieda B3 - bezpečnostné zóny - bezpečnostný monitor, signalizácia udalostí

trieda A1 - verifikovaný projekt - vysoký stupeň istoty správnej implementácie výpočtovej základne TCB, správa konfigurácie

©JV- MBIS ´11 8

Európske kritéria ITSECInformation Technology Security Evaluation Criteria

Kritériá, povoľujú výber ľubovoľných bezpečnostných funkcií a definujú sedem úrovní hodnotení označovaných ako E0 až E6, ktoré reprezentujú vzrastajúcu dôveru v schopnosť hodnoteného objektu splniť svoju špecifikáciu bezpečnosti.

©JV- MBIS ´11 9

Európske kritéria - špecifikácia

Špecifikácia bezpečnosti miera záruky za efektívnosť - kritériá

pre hodnotenie hodnotenie efektívnosti - vhodnosť a

schopnosť funkcií presadzujúcich bezpečnosť spôsob vývoja, t.j. konštrukcie spôsob jeho použitia a prevádzku

©JV- MBIS ´11 10

Európske kritéria - fázy vývoja

Vývojové prostredie - prostriedky, procedúry a štandardy pri vývoji

Prevádzková dokumentácia - prostriedky pre výmenu informácií medzi vývojovým pracovníkom a zákazníkom.

Prevádzkové prostredie - prostriedky, procedúry a štandardy, ktoré sa vzťahujú k dodávke, inštalácií a prevádzke

©JV- MBIS ´11 11

Európske kritéria – úroveň E0 - nedostatočnú úroveň bezpečnosti, E1 - špecifikácia bezpečnosti a neformálny popis návrhu

architektúry hodnoteného objektu. E2 - neformálny alebo poloformálny popis detailného

návrhu, testovanie bezpečnostných funkcií, konfiguračné riadenia systému,...

E3 - hodnotené zdrojové texty a/alebo schémy technického zabezpečenia alebo realizácie bezpečnostných mechanizmov...

E4 - formálny model bezpečnostnej politiky, návrh architektúry ...

E5 - úzka korešpondencia medzi detailným návrhom, zdrojovými texami a technickou dokumentáciou...

E6 - špecifikácia funkcií presadzujúcich bezpečnosť a návrh architektúry, ktorá zodpovedá modelu BP....

©JV- MBIS ´11 12

British standard - oblasti

Definuje tri základné oblasti aplikácie bezpečnostných mechanizmov

organizačná prevádzková a prierezová

©JV- MBIS ´11 13

British standard - organizačná

Bezpečnostná politika - ciele, rámec bezpečnostnej politiky podniku, IS ...

Organizačná bezpečnosť – riadenie v rámci podniku, pozície, incidenty ...

Klasifikácia a kontrola aktív – hmotné a nehmotné, vlastníci, zodpovednosť

©JV- MBIS ´11 14

British standard - prierezové

Riadenie prístupu – prístupové práva, opatrenia, zodpovednosť ...

Vývoj a údržba systému – vývoj a rozvoj systému, internými aj externými prvkami

Kontinuita prevádzky – havárie, prechod na nový systém

Súlad zo štandardami – legislatíva, medzinárodné štandardy ...

©JV- MBIS ´11 15

British standard - prevádzková

Personálna – ľudský faktor ... Fyzická – budovy, systém, server,

komunikácia, rozvody ... Prevádzková (logická) – postupy,

zodpovednosť, zálohovanie, antivírová ochrana, skartácia ....

©JV- MBIS ´11 16

Elementy bezpečnosti

Politika - základ všetky aspektov programu bezpečnosti,

Postupy - zabezpečenie efektívnej implementácie politiky,

Štandardy- dokumentované technické a netechnické požiadavky,

Tréning- kontinuálne vzdelávanie, Technológia - získanie, inštaláciu, obsluhu

a správa technologicky založenej ochrany.

©JV- MBIS ´11 17

Životný cyklus

Stratégia a plánovanie - všetky tradičné zložky riešenia vývojového procesu

Implementácia a sprístupnenie - program bezpečnosti je implementovaný inkrementálne a je prioritne orientovaný

Prevádzka a audit - fáza prevádzky životného cyklu programu bezpečnosti

CC – common criteria

Základným pojmom je predmet hodnotenia (TOE – Target of Evaluation) - produkt informačného systému, systém alebo jeho časť,

Cieľom TOE je overenie, či predmet splnil všetky požiadavky, uvedené v jeho špecifikácii bezpečnosti.

Okrem základných aspektov (dôvernosť, integrita a prístupnosť) sa sledujú sa aj iné aspekty napr. audit, využívanie zdrojov a iné.

©JV- MBIS ´11 18

CC - pokračovanie

Výsledok hodnotenia bezpečnosti informačného systému je úroveň dôveryhodnosti, s akou bezpečnostné funkcie produktu spĺňajú stanovené požiadavky.

nová štruktúra kritérií, zoskupovanie bezpečnostných požiadaviek do tried, rodín a komponentov

©JV- MBIS ´11 19

CC - zoskupovanie

Trieda (Class) Skupina (Family) Komponent

©JV- MBIS ´11 20

CC - Trieda (Class)

najvšeobecnejšie zoskupenie požiadaviek bezpečnosti,

všetci členovia triedy majú spoločný zámer, rozlišujú sa v pokrytí cieľov bezpečnosti,

členmi triedy sú skupiny, resp. rodiny.

©JV- MBIS ´11 21

CC - Skupina (Family)

zoskupenie množiny požiadaviek bezpečnosti, ktoré majú rovnaké ciele bezpečnosti, ale môžu sa líšiť v dôraze alebo prísnosti,

členmi rodiny sú komponenty

©JV- MBIS ´11 22

CC - Komponent

špecifická, najmenšia selektovateľná množina požiadaviek bezpečnosti podľa CC,

požiadavky môžu byť zotriedené, čím reprezentujú nárast sily alebo možností požiadaviek bezpečnosti, ktoré majú spoločný cieľ

©JV- MBIS ´11 23

FAU – monitorovanie bezpečnosti (Security Audit), FCO – komunikácie (Communication), FDP – ochrana údajov používateľa (User Data Protection), FIA – identifikácia a autentifikácia (Identification and

Authentication), FPR – súkromie používateľov (Privacy), FPT – ochrana vlastných bezpečnostných funkcií (Protection

of the Trusted Security Functions), FRU – využívanie zdrojov (Resource Utilization), FTA – prístup k produktu (Target of Evaluation Access), FTP – dôveryhodné spojenie (Trusted Path/Channels).

©JV- MBIS ´11 24

Záruka (assurance) atribút

odráža schopnosť bezpečnostných funkcií dodržiavať stanovenú bezpečnostnú politiku:

ACM – správa konfigurácie hodnotného produktu (Configuration Management),

ADO – dodávka a prevádzka (Delivery&Operation), ADV – proces vývoja hodnoteného produktu

(Development), AGD – kvalita sprievodnej dokumentácie (Guidance

Documents), ALC – podpora životného cyklu (Life Cycle

Supports), ©JV- MBIS ´11 25

Záruka (assurance) atribút

ATE – kvalita testovania (Tests), AVA – určenie zraniteľnosti hodnoteného produktu

(Vulnerability Assessment), APE – vyhodnotenie profilu ochrany (Protection

Profile Evaluation), ASE – vyhodnotenie bezpečnostného cieľa

(Security Target Evaluation), AMA – správa požiadaviek na zaručiteľnosť

(Maintenance of Assurance).

©JV- MBIS ´11 26

EAL (Evaluation Assurance Level) hodnotenie objektov do 8 kvalitatívnych úrovní sú hierarchicky usporiadané a každá

reprezentuje väčšie zabezpečenie ako nižšie úrovne.

pre komponenty tej istej skupiny vo vyššej úrovni to znamená nárast ich dôležitosti pri testovaní.

pridanie nových komponentov z iných skupín odráža pridanie nových požiadaviek pre hodnotený objekt.

©JV- MBIS ´11 27

EALx

0 – Nedôveryhodný 1 – Funkčne testovaný 2 – Štrukturálne testovaný 3 – Metodicky testovaný a overovaný. 4 – Metodicky navrhovaný, testovaný a preskúmaný 5 – Semi-formálne navrhovaný a testovaný 6 – Semi-formálne overovaný návrh a testovaný

objekt. 7 – Formálne overovaný návrh a testovaný objekt

©JV- MBIS ´11 28

Porovnanie tried metodík

©JV- MBIS ´11 29

úroveň záruky

1 2 3 4 5 6 7

TCSEC D C1 C2 B1 B2 B3 A1ITSEC E0 E1 E2 E3 E4 E5 E6CC EAL 1 2 3 4 5 6 7

©JV- MBIS ´11 30

©JV- MBIS ´11 31

role a funkcie

orientovanie na výkon rolí v organizácii – obsahuje informácie, ktoré potrebuje poznať zamestnanec, vykonávajúci určitou rolu v organizácii vo vzťahu k bezpečnosti IS/ICT (napr. príručka bezpečnosti pre užívateľa osobného počítače,

Príručka pre bezpečnú prácu administrátora aplikácie a pod.),

©JV- MBIS ´11 32

procesy

procesne orientovaná dokumentácia obsahuje popisy bezpečnostných mechanizmov a procedúr v organizácii, napr. ako nastaviť technické parametre serveru...,

ako nastaviť parametre určitého základného programového vybavenia – databáz, operačných systémov a pod. tak, aby spĺňali zásadu preukázateľnosti a pod.),

©JV- MBIS ´11 33

riešenie vecných problémov

vecne orientovaná dokumentácia – obsahuje špecializované funkcie, oblasti, objekty (napr. príručka alebo smernice pre akceptáciu nových častí

postup pri uzatváraní pracovnej zmluvy so zamestnancom

©JV- MBIS ´11 34

©JV- MBIS ´11 35